Exchange Hybrid Verbindungen
Der Hybrid-Mode zwischen Office 365 und einer On-Prem-Umgebung bedeutet, dass die Identitäten auf beiden Seiten synchron gehalten werden müssen.
Beachten Sie dazu auch die Gegenüberstellung auf HCW Feature&Topologie
Video zu Exchange Hybrid
In 10 Minuten fasse ich die wichtigsten Dinge zum Hybrid Mode zusammen.
Das ersetzt natürlich nicht das Lesen des Artikels.
Exchange Hybrid Verbindungen
https://www.youtube.com/watch?v=B9FN3R315mA
Exchange Hybrid – Was, Warum und Wie
(Thomas Stensitzki)
https://www.youtube.com/watch?v=5C2T7oqZGwU
Übersicht
Das "große Bild" kann erst einmal verwirren. Es zeigt aber den "maximalen Vollausbau" eine Hybrid-Umgebung. Allerdings benötigen Sie nicht alle Verbindungen sondern meist nur eine Teilmenge.
Welche Verbindungen letztlich erforderlich sind, hängt von ihrer Exchange Version, der Dauer und dem Umfang der Koexistenz ab. Microsoft unterscheidet mittlerweile zwei Features und zwei Topologien.
Siehe dazu HCW Feature&Topologie
Auf dem Bild sehen Sie zwei Verbindungen, die "grau" sind. Diese Funktionen sind nicht erforderlich, wenn Sie "Modern Hybrid" mit dem Agent umsetzen.
Verzeichnisabgleich
Es muss sichergestellt werden, dass Dienste in der Cloud und lokale Dienste die gleiche Sicht auf die möglichen Empfänger haben. Es ist dabei irrelevant, wo die Empfänger physikalisch sind. Exchange Postfächer können „On-Premises“ als auch in Exchange Online liegen. Es gibt aber weitere Empfänger wie Office Groups, öffentliche Ordner, SharePoint Libraries, Teams Channel u.a.
Da für den Hybrid-Mode zwei Exchange Organisationen miteinander verbunden werden, ist ein Verzeichnisabgleich zwingend erforderlich.
- Exchange GAL
AADConnect ist für die Pflege der Empfänger in der Cloud zuständig. Es gibt keinen Dienst in Exchange, der ihnen diese Arbeit abnimmt - Exchange Weiterleitung
AADConnect pflegt auch das Feld "TargetAddress" mit dem Empfänger auf einer Seite von der anderen Seite aus erreichbar werden. - Anzeige von Verteilern
Auch Gruppen sind erst einmal AD-Objekte mit Exchange Properties und damit ist es AADConnect, der diese Elemente in der Cloud verwaltet und die Mitglieder aktuell hält. - Erreichbarkeit von
Verteilermitgliedern
AADConnect repliziert in dem Zuge auch die Exchange Properties, insbesondere die Mailadressen, damit die Verteiler auch auf beiden Seiten erreichbar sind. - Free/Busy-Abfragen
Der Inhalt des Felds TargetAddress ist maßgeblich, damit die Exchange Umgebung mit ihrem Postfach weiß, wo sie diese Daten beziehen kann. - Exchange UM-Information
Auch die Informationen zur Voice-Mail sind AD-Properties, die AADConnect überträgt - Exchange Online Archiv in
der Cloud
Damit Exchange Online weiß, welcher Benutzer sein Archiv in der Cloud hat, müssen auch diese Felder durch AADConnect übertragen werden.
Sie sehen also, dass an AADConnect und einen kompletten Verzeichnisabgleich aller für Exchange relevanten Objekte kein Weg vorbei führt. Prüfen Sie daher auf jeden Fall die Konfiguration des AADConnect, dass er auch Exchange Hybrid unterstützt. Der ADSync ist die Komponente, die Benutzer, Verteiler, Kontakte etc. von On-Premises in die Cloud repliziert. Es reicht aber nicht einfach nur ADSync zu installieren. Sie müssen zwingend auch den Hybrid-Mode dort aktivieren:
Achtung: Der Hybrid Configuration Wizard kontrolliert diese Einstellung nicht!
Der zur Einrichtung von Hybrid nutzte HCW - Hybrid Configuration Wizard prüft diese Voraussetzung leider nicht und es ist mir bei mehreren Kunden schon passiert, dass die Fachabteilung für Identity entgegen meiner Anforderungen und deren Aussagen diese Funktion nicht aktiviert hat. Mittlerweile habe ich ein PowerShell-Script (Compare-GAL), mit dem ich die Synchronisation der GALs prüfen kann.
- ADSync mit Exchange
- ADSync mit Exchange Online Only,
- Exchange Online Provisioning
- ADSync Funktion
- Compare-GAL
Optimiertes Mailrouting
Damit Nachrichten zwischen den Welten nicht durch Spamfilter erschwert und vor allem sicher und verschlüsselt übertragen werden, ist ein dedizierter Verbindungsweg zwischen dem Tenant bzw. Office 365/Azure-Diensten und der lokalen Umgebung zu konfigurieren.
Sie können "optional" einen Exchange Edge Server einsetzen da er in dem Umfeld keinen Mehrwert bietet, würde ich darauf verzichten. Wenn Sie einen anderen Spamfilter nutzen, dann muss die Cloud dennoch direkt mit den Exchange Servern kommunizieren. Zur Sicherheit sollten Sie ihren Exchange Server aber nicht "aus dem Internet" erreichbar machen. Eine Filterung auf Source-IP-Adressen von Office 365 macht Sinn.
Alle Empfänger in einer Hybrid-Umgebung bekomme zusätzlich eine "<tenantname>.mail.onmicrosoft.com"-Adresse. Da beim Einsatz von Hybrid die Exchange Properties in Office 365 durch die On-Prem-Installation gepflegt werden, müssen diese Adressen auch On-Premises gesetzt werden. Der Hybrid Konfiguration Assistent ändert dazu die Empfängerrichtlinien und aktualisiert alle Empfänger. Da sind einige Probleme nicht ganz auszuschließen.
- Objekte mit deaktivierter Richtlinie
- Objekte mit abweichenden Berechtigungen
- OAB Generation
Bei kleinen Firmen wird das sicher kein Problem sein, aber größere Firmen mit delegierten Rechten und vielen Domänen sollten hier vielleicht vorplanen.
- Hybrid Mail Routing
- Hybrid Centralized Mail Transport
- Hybrid Configuration Wizard
Fails To Update Default Address
Policy
https://oddytee.wordpress.com/2015/07/08/hybrid-configuration-wizard-fails-to-update-default-address-policy/
Hinweis: "Lite-Version mit "Modern Hybrid"
Sie können die Mails auch ohne eigene Connectoren einfach "über das Internet " laufe lassen. Die Mails "zur Cloud" nutzen als Zieldomain ihre "<tenantname>.mail.onmicrosoft.com" ,welches ja extern ist. In der Gegenrichtung sendet die Cloud alles an ihre reguläre SMTP-Domain, die per MX-Record auf die lokale Installation verweist. Allerdings müssen Sie ihren Spamfilter "tunen", damit er die Mails der anderen Seite nicht voreilig in den Spamfilter ablegt, da die eigene "From-Domain" von extern normalerweise als Phising erkannt wird.
Migration
Für den Umzug von Inhalten im Rahmen einer Migration in die Cloud oder auch wieder zurück müssen die geeigneten Wege konfiguriert werden, damit der Zugriff sicher, leistungsfähig und stabil erfolgt.
Beim Hybrid-Mode wird die Migration durch die Cloud betrieben, die dazu über das EWS-Virtual Directory auf den MRSProxy-Service ihrer On-Premises Umgebung. Auch hier können Sie die Zugriffe auf die Microsoft Source-IP-Adressen beschränken und den Zugriff über einen Reverse-Proxy leiten, der SSL aufbricht und die URLs prüft. Er muss aber die Zugriffe wieder zum Exchange Server verschlüsseln, da der MRSProxy nur per HTTPS den Zugriff erlaubt.
Hinweise: MinHybrid
In Verbindung mit einem "MinHybrid" wird
diese Verbindung bei einem AzureAD-Proxy terminiert und ein
interner Agent startet eine ausgehende Verbindung. Das macht
das Setup einfacher.
Federation Exchange 2010
Dieser Abschnitt sollte mittlerweile "veraltet" sein, da hoffentlich die meisten Exchange 2010 Server mittlerweile abgebaut sind. Damit mit Exchange 2010 eine Abfrage von "Frei/Belegt-Zeiten" möglich ist. muss sich der Server ein Ticket vom Microsoft Federation Gateway besorgen.
Seit Exchange 2013 und höher wird dies über Exchange Partner Applications umgesetzt. Die Einrichtung übernimmt der HCW.
Free/Busy u.a.
Wenn Sie nicht vor haben, innerhalb weniger Tage alle Postfächer zu migrieren, dann gibt es eine Koexistenzphase, bei der Mitarbeiter auf der einen Seite die Frei/Belegt-Zeiten der anderen Welt sehen müssen. Eventuell ist sogar ein Zugriff auf freigegebene Postfächer der anderen Welt erforderlich. Das machen die Server per EWS untereinander aus.
Auch "Mailtipps", Messagetracking u.a. fallen darunter.
Hinweis: "Lite-Version mit "Modern Hybrid"
Hier kann ein lokaler Agent eine
ausgehende Verbindung zu einem AzureAD
Proxy aufbauen, so dass Sie hierfür
keine eingehende Verbindung benötigen.
Hybrid Server
Für den Hybrid-Mode benötigen Sie natürlich lokal mindestens einen Exchange Server, der zudem von Office 365 über das Internet erreichbar ist. Abhängig von ihrer lokalen Umgebung möchten Sie vielleicht nicht die vorhandenen Server veröffentlichen sondern einen eigenen "Hybrid Connector Server" aufbauen. Egal wie sie es anstellen, brauchen Sie folgende Funktionen
- Mailrouting zwischen Office 365 und
OnPremise
d.h. aktuell muss ihr Exchange Server per SMTP (25/TCP) zumindest von Office 365-Servern erreichbar sein - EWS für FreeBusy -Informationen,
MRS-Migrationen, Mailtipps etc.
Dazu ist EWS von Office 365 erreichbar zu machen. Seit Juni 2018 können Sie dazu auch den Hybrid Agent nutzen, wenn Sie ihre interne Umgebung nicht direkt aus dem Internet per HTTPS erreichbar machen wollen. - Ihr Exchange muss surfen können
Sonst kann er selbst nicht die Office 365 Dienste für Federation-Anfragen erreichen
Diese umfangreiche Erreichbarkeit führt natürlich beim Thema Sicherheit zurecht immer zu Diskussionen. Hier gilt es dann die Nutzung und das Risiko seriös darzulegen und die Fragen zu beantworten. Dennoch sind natürlich eine statische IP-Adresse und Zertifikate erforderlich.
Weitere Links
- HCW - Hybrid Configuration Wizard
- HCW Feature&Topologie
- HCW im Detail
- Hybrid Mail Routing
- Hybrid Centralized Mail Transport
- TargetAddress
- Hybrid Deployments with the
Hybrid Configuration Wizard
https://technet.microsoft.com/en-us/library/hh529920 -
https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/operations/configuring-alternate-login-id
Using Alternate ID in hybrid environments with Exchange and/or Skype for Business is supported but not recommended. Using the same set of credentials (e.g. the UPN) for On-Premisess and online provides the best User experience in a hybrid environment. Microsoft recommends customers change their UPNs if possible to avoid the need for Alternate ID. Using alternate ID with Lync or Skype for business requires Lync Server 2013 or later. Customers who use Alternate ID should consider enabling Modern Authentication for Exchange in Office 365 for an improved User experience. In addition, customers using Skype for Business with mobile clients must ensure that the SIP address is identical to the User’s mail address (and alternate ID).